Две високорискови слабости са добавени към каталога на активно използваните уязвимости

Американската агенция за киберсигурност и сигурност на инфраструктурата – Cybersecurity and Infrastructure Security Agency – предупреди, че киберпрестъпници активно експлоатират уязвимости в операционната система Android и ядрото на Linux. Двата проблема бяха включени в каталога на известните експлоатирани уязвимости (Known Exploited Vulnerabilities – KEV), което означава, че вече са наблюдавани реални атаки срещу уязвими системи.

Android уязвимост позволява повишаване на привилегиите

Най-новото попълнение в KEV каталога е уязвимостта CVE-2025-48595, която засяга Android Framework.

Става въпрос за високорискова integer overflow уязвимост, която може да бъде използвана за повишаване на привилегиите в системата. Според публикувания бюлетин на Google проблемът засяга устройства с Android 14, Android 15 и Android 16.

Особено тревожен е фактът, че експлоатацията не изисква никакво взаимодействие от страна на потребителя. Това значително улеснява потенциалните атаки и увеличава риска за засегнатите устройства.

От Google потвърждават, че уязвимостта може да е използвана в ограничени целенасочени атаки, но не предоставят допълнителни технически подробности относно начина на експлоатация или засегнатите организации.

Корекцията вече е включена в пакетите за сигурност от юни 2026 г. с нива на защита 2026-06-01 и 2026-06-05.

Стара Linux уязвимост продължава да представлява сериозна заплаха

Втората уязвимост, добавена към KEV, е CVE-2022-0492.

Макар да е открита преди няколко години, тя продължава да бъде активно използвана срещу неподдържани или неправилно конфигурирани среди.

Проблемът засяга множество версии на Linux ядрото – от серия 2.6 до 4.20, както и версиите между 5.5 и 5.17.

Уязвимостта се намира във функцията cgroup_release_agent_write() в подсистемата cgroups v1. Поради недостатъчни проверки за удостоверяване локален атакуващ може да:

• заобиколи механизмите за изолация на пространства от имена (namespaces);
• повиши привилегиите си;
• избяга от контейнерна среда;
• получи root достъп до хост системата.

Особен риск за контейнеризирани среди

Според предишни анализи на Aqua Security и Palo Alto Networks уязвимостта представлява най-сериозен риск за среди, използващи контейнери и cgroups v1.

Заплахата става още по-голяма, когато контейнерите работят с разширени привилегии или допълнителни Linux capabilities, които предоставят по-широк достъп до системните ресурси.

Версии на Linux с налични корекции

Проблемът е отстранен в следните версии на Linux ядрото:

• 4.9.301 и по-нови;
• 4.14.266 и по-нови;
• 4.19.229 и по-нови;
• 5.4.177 и по-нови;
• 5.10.97 и по-нови;
• 5.15.20 и по-нови;
• 5.16.6 и по-нови;
• 5.17-rc3 и по-нови.

Организациите, които все още използват по-стари версии, следва незабавно да планират актуализация или допълнителни защитни мерки.

CISA поставя кратък срок за реакция

С включването на двете уязвимости в KEV каталога всички федерални агенции на САЩ, попадащи под изискванията на директивата BOD 22-01, са задължени да приложат наличните корекции или да прекратят използването на засегнатия софтуер.

Крайният срок, определен от CISA, е 5 юни.

Макар това изискване да е насочено към федералните институции, агенцията традиционно използва KEV каталога като индикатор за всички организации от критичната инфраструктура и корпоративния сектор, че съответните уязвимости представляват реална и непосредствена заплаха.

Няма данни за атаки с рансъмуер

Към момента нито една от двете уязвимости не е маркирана от CISA като използвана от оператори на рансъмуер. Агенцията поддържа специален индикатор за подобни случаи, тъй като те обикновено са свързани с по-висок риск и необходимост от незабавни действия.

Въпреки това фактът, че и Android, и Linux уязвимостите вече се експлоатират активно, е достатъчна причина организациите да приоритизират актуализациите и да проверят дали техните среди не попадат сред засегнатите системи.